Isilon: Impossibile creare una zona di crittografia Hadoop con RangerKMS e Active Directory Kerberos
Summary: Quando si tenta di creare una zona di crittografia Hadoop, la creazione non riesce e il nome utente viene impostato come nome cluster anziché come utente HDFS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Quando si tenta di creare una zona di crittografia Hadoop con OneFS 8.2, Ambari 2.7.3 e HDP 3.1.4.0-315, la creazione di zone non riesce in quanto non è possibile ottenere la chiave.
Cluster HDP installato e kerberizzato con Active Directory, Ranger implementato con Ranger KMS. Le chiavi vengono create in KMS
[hdpuser1@centos-05 ~]$ hadoop key list -provider kms:// http@centos-05.foo.com:9292/kms
Elenco delle chiavi per KeyProvider: org.apache.hadoop.crypto.key.kms.LoadBalancingKMSClientProvider@1750fbeb
keya keyb
Durante la creazione della zona di crittografia, viene visualizzato il seguente errore:
# isi hdfs crypto encryption-zones create --path=/ifs/zone3/hdp/hadoop-root/keya --key-name=keya --zone=zone3 -v
Chiamata alla creazione della zona di crittografia non riuscita: GetKeyMetaData: Il servizio di gestione delle chiavi restituisce HTTP status: 403; Messaggio di eccezione remota: Utente:ISILONS-2G88EXB$ non è autorizzato a fare 'GET_METADATA' su 'keya'; Richiesta: http://centos-05.foo.com:9292/kms/v1/key/keya/_metadata?user.name=hdfs
l'account utente a cui si fa riferimento senza accesso a GET_METADATA è l'account dell'oggetto computer Active Directory: ISILONS-2G88EXB$ , non l'account di servizio hdfs non è in grado di aggiungere questo oggetto AD a Ranger KMS come privilegio dell'account utente, $ impedisce l'aggiunta.
L'account hdfs è stato aggiunto nel KMS con il privilegio Get_Metadata richiesto (vedere la schermata)
pipe1-1# token di mappatura dell'autenticazione isi --zone=zone3 --user=foo\ISILONS-2G88EXB$
Nome utente:
FOOisilons-2g88exb$
UID:
SID 1000008: S-1-5-21-856609431-2249676204-1531082451-1738
su disco: S-1-5-21-856609431-2249676204-1531082451-1738
ZID:
5 Zona: zone3
Privilegi: -
Nome del gruppo
principale: Computer FOOdomain < -- GID dell'oggetto
computer:
SID 1000003: S-1-5-21-856609431-2249676204-1531082451-515
su disco: S-1-5-21-856609431-2249676204-1531082451-515
Nome identità
supplementari: SID utenti
autenticati: S-1-5-11
: in base al comportamento precedente, TDE con Ranger, KMS e AD non è attualmente supportato.
Cause
In base alla progettazione, lo scenario AD kerberos + RangerKMS non è supportato ufficialmente in questo momento e il white paper corrente non verrà modificato.
Resolution
RFE (Request for Enhancement) è l'opzione che è l'opzione più adatta in questo momento.
Poiché verrà considerata come una funzionalità, PdM dovrà intervenire per impostare la pianificazione, si consiglia all'Account Team di contattare il team di prodotto per un'ulteriore pianificazione.
Poiché verrà considerata come una funzionalità, PdM dovrà intervenire per impostare la pianificazione, si consiglia all'Account Team di contattare il team di prodotto per un'ulteriore pianificazione.
Additional Information
Guide al white paper su riferimento HDFS e TDE:
https://www.delltechnologies.com/resources/en-us/asset/white-papers/products/storage/h18083-wp-using-tde-with-isilon-hdfs.pdf
PowerScale OneFS HDFS Reference Guide
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000188253
Article Type: Solution
Last Modified: 15 Sept 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.